第034章 分析病毒（第二更）

小紫书【xiaozishu.cc】第一时间更新《重生之王牌黑客》最新章节。

对硬盘主引导记录的分析结果显示，硬盘的主引导记录已经被病毒篡改了，肖远仔细分析了主引导记录的分析报告，加上自己经验进行推测，基本上搞明白了这个病毒的工作原理：

主引导记录中内置了一段判断程序，这段判断程序会首先探测计算机的网络端口是否开放，如果开放的话，他会将自身以广播的形式向网络上发散，如果没有开放，那么他将不会主动进行网络传播，转入下一流程，对硬盘进行检测，判断硬盘是否被cih病毒所感染，如果被感染了，他就会把自己隐藏起来，没有任何动作。

如果判断程序发现系统没有被感染，那么，它会将在硬盘末尾一块很小的隐藏分区中存储的cih病毒原体，拷贝到系统文件夹中，并设置为随系统自动启动，做完这一切后，它又会把自己隐藏起来，系统在启动时，cih病毒随之运行，对系统文件进行感染，接下来对系统的破坏工作，就交给cih病毒进行了。

这个判断完全是建立在硬盘中有完整的windows系统的情况下进行的，如果它发现系统中没有操作系统，也就是说硬盘可能被格式化了，那么这个判断程序就会运行一段和cih病毒存储在同一隐藏区域的另一个程序，这个程序肖远根据先前的情况推断，应该就是那个游戏程序。

从逻辑上来说，这段判断程序的工作原理并不是特别复杂，所以，肖远很容易就做出了上面的那些推断。

退出了硬盘分析程序，肖远又运行了一款磁盘分区管理软件，这款软件比系统自带的那个fdisk要强大一些，能够探查出那些fdisk无法发现的隐藏分区，运行后，软件给出了一个磁盘系统分区表清单，果然，在最后有一个只有一兆的隐藏分区，cih病毒原体和先前他们玩的那个字母游戏程序就隐藏在这里。

这时，肖远突然想到，刚才唐新宇对磁盘进行分区，用的是系统内置的分区命令fdisk，那么，他对那些硬盘分完区后，这个小隐藏分区应该没有被破坏掉，不过一来因为这个分区是隐藏的，二来，这个分区内存储的病毒需要主引导记录的程序提取才能运行，那些学生机的电脑上，即使还留着这个分区，里面的病毒也变成了死物，没有了发作机会而已。

为了验证自己的想法，肖远拿了一块还没有装到计算机上的学生机硬盘检测了一下，果然，唐新宇重新分区后，只是把主引导记录中的那个判断程序给破坏掉了，磁盘末尾的那个隐藏分区还在，肖远顺手把这个分区给删除了，里面的病毒也随之被彻底销毁。

唐新宇还在继续干着他的活，但是也在密切注意着肖远这边，他看到肖远拿起了他分过区的一块硬盘装到电脑上，又进行了一番操作，于是趁着ghost克隆等待的时间，凑了过来。

“病毒还没有杀掉？”

“嗯，还有一点残留……”

肖远把刚才的分析结果给唐新宇说了一遍，然后让唐新宇在硬盘克隆的空闲时，把所有硬盘最后的那个隐藏分区给删除掉，而他自己则把那个隐藏分区中的cih病毒原体给拷贝了出来，因为他做这一切都是在dos下进行的，而cih病毒感染不了dos，所以他并不担心这一举动会有什么危险。

拷贝出来后，他将这个病毒进行了反汇编，然后开始研究这个病毒的汇编代码，看看它究竟是怎么绕过自己设置的cih病毒免疫补丁的，研究了一会儿，突然笑着感叹了一句：“原来是这么回事，真野蛮啊！”

原版的cih病毒在感染计算机之前，会检测机器是不是被感染过了，如果感染过了，病毒就不会重新进行感染，而肖远设置的免疫补丁就是利用了这一点，在系统中伪造出一种被病毒感染的假象，从而达到骗过这个病毒的目的，但是这个被改造过的病毒却是采用了一种很野蛮，但有效的方式，不管计算机有没有感染，它都会重新感染一遍，这样，肖远设置的补丁自然就没有了作用。

肖远继续分析病毒代码，发现病毒的发作时间被设置成了每周四上午十点半，而不是原来的4月26号，6月26号以及每月的26号，这才导致今天上午机房的机器病毒大爆发。

除了上面的这些改动外，这个病毒和原版的cih病毒并没有什么区别，所以肖远在弄清楚它的工作原理后，就把它删掉了。

这时候，唐新宇已经把所有学生机的系统都装好了，最后的以藏分区也被他删掉了，他闲下来后，也围了过来，拉了把椅子坐到了肖远的身边看他在不停地忙碌。

肖远看到唐新宇过来，就把他分析得到的结论向唐新宇介绍了起来，却不想招来了坐在另一侧的唐飒的不满。

“咯咯，弟弟你好偏心哦，姐姐在你身边坐了这么久，也不见你向姐姐解释一下。”

天才一秒记住【小紫书】地址：xiaozishu.cc，若浏览器显示没有新章节了，请尝试点击右上角↗️或右下角↘️的菜单，退出阅读模式即可，谢谢！